01[1]

I ransomware sbarcano su Linux: ecco RansomExx

martedì 10 novembre 2020
I ransomware sbarcano su Linux: ecco RansomExx

Come ripetiamo spesso, i cyber criminali non riposano mai ed escogitano sempre nuovi metodi di attacco per poter ampliare le cosiddette “superfici di attacco”, i bersagli potenziali. Quindi era solo questione di tempo, ma i ransomware sarebbero sicuramente sbarcati su Linux: ed ora è successo. D’altronde, agli attaccanti non è servito altro che prendere consapevolezza di quello che, nel mondo aziendale, è una normalità ovvero l’uso di un ambiente server misto Linux e Windows. Insomma, è ormai da tempo che sono aumentati gli sforzi del cybercrime per creare malware adatti alle versioni Linux, così da garantire la criptazione dei dati indipendentemente dall’ambiente in cui sono ospitati.

RansomExx non è un nuovo ransomware: è già balzato agli onori delle cronache per attacchi di un certo peso, quello contro la rete governativa del Brasile, ma anche contro il Dipartimento dei Trasporti del Texas, contro Konica Minolta, IPG Photonics e altri… Quel che è stato individuato recentemente in diffusione, è che poi costituisce novità, è una nuova versione, chiamata anche Defray777, che ha le capacità di colpire e criptare anche i server Linux.

Stando alle analisi dei ricercatori, quando viene attaccato un server Linux, gli operatori del ransomware distribuiscono anche un eseguibile ELF (Executable and Linkable format) chiamato “svc.new”: è questo file il responsabile della criptazione dei file sui sistemi Linux. Nell’eseguibile Linux sono integrati anche una chiave di criptazione pubblica RSA-4096, la nota di riscatto e un’estensione di criptazione che verrà applicata ai file criptati e che prenderà il nome della macchina della vittima.

Fonte: bleepingcomputer.com

A differenza della versione per Windows di questo ransomware, la quale mostra un certo livello di complessità, questa versione per Linux sembra minimale: non contiene alcun codice per terminare processi, neppure quelli di sicurezza, non comunica con alcun server di comando e controllo, non cancella lo spazio libero, tutte funzionalità che invece si trovano nella versione per Windows.

Utenti vittime di questo ransomware hanno anche segnalato che, una volta pagato il riscatto, vengono effettivamente inviati due decryptor diversi, uno per Linux e uno per Windows, con le corrispondenti chiavi private RSA-4096. Il decryptor per Linux si chiama “decryptor64” ed va eseguito tramite terminale come si può vedere sotto

Fabian Wosar di Emsisoft ha dichiarato che RansomExx è stato usato in attacchi contro sistemi Linux già nel Luglio 2020, ma è plausibile pensare che sia stato usato già in tempi antecedenti. Sicuramente non è il primo ransomware per Linux: PureLocker e Snatch sono stati gli apripista dei ransomware nel mondo del pinguino, con scarsi successi però a differenza di RansomExx.

01[1]

Campari e Capcom Ko: il ransomware RagnarLocker irrompe nelle reti aziendali

Geox, Enel, Carraro, Luxottica e ora Campari Group, il colosso italiano dell’aperitivo: i ransomware colpiscono forte in tutto il mondo e ormai dovrà ricredersi, sulla loro pericolosità, anche chi ha sempre pensato che l’Italia fosse in salvo.

L’attacco contro Campari Group è iniziato domenica 1 Novembre: si parla di circa 2TB di dati non criptati rubati, gran parte della rete IT in down e una richiesta di riscatto di 15 milioni di dollari. Down anche i siti web, il sistema di email interno, le linee telefoniche. L’attacco è stato attribuito al gruppo ransomware RagnarLocker: il ricercatore malware che corrisponde al nome di Pancak3 ha infatti condiviso con la redazione della rivista specializzata online ZDNet la nota di riscatto inviata a Campari, dove è esplicitata la tipologia di ransomware utilizzato:

Stando alla nota di riscatto, sarebbero stati rubati 2TB di dati in chiaro tra i quali credenziali bancarie, documenti, contratti, accordi, email, dati personali, proprietà intellettuali ecc…

L’attacco è stato poi confermato Lunedì scorso con un comunicato stampa pubblicato direttamente da Campari Group, poi con una successiva dichiarazione online:

“A seguito delle precedenti comunicazioni sull’attacco malware, Campari Group informa che, nell’ambito del piano di ripristino dei propri sistemi IT, alcuni servizi sono stati progressivamente riavviati dopo il completamento dell’attività di sanificazione e l’installazione di misure di sicurezza aggiuntive. Nel frattempo, altri sistemi rimangono temporaneamente e deliberatamente sospesi od operanti con funzionalità ridotte in più siti, in attesa di essere sanificati o ricostituiti con l’obiettivo di ripristinarne la piena operatività in modo completamente sicuro. Il nostro obiettivo è garantire la continuità operativa nel modo più esteso possibile per le nostre attività nonché quelle dei nostri clienti e controparti di business.”

Ovviamente è arrivata, da parte degli attaccanti, anche la minaccia di pubblicazione dei dati rubati dalla rete aziendale in caso di mancato pagamento del riscatto oppure di esplicita volontà di non aprire alcuna trattativa. Gli attaccanti non hanno ancora pubblicato dati, ma sono già comparsi nel dark web, sul sito di leak di RagnarLocker alcuni screenshot della rete interna di Campari e di alcuni documenti aziendali a riprova dell’intrusione. Tra i materiali pubblicato anche il contratto che la Campari ha firmato con l’attore americano Matthew McConaughey per la promozione del brand di bourbon Wild Turkey.
Fonte: https://www.zdnet.com/

Non solo: uno degli screenshot mostra anche un elenco dei dipendenti della filiale statunitense della Campari. L’elenco è contenuto in un file Excel contenente dati estremamente sensibili, compreso il numero di previdenza sociale personale.
Fonte: https://www.bleepingcomputer.com/

Stando a quanto dichiarato dai portavoce di Campari alla stampa, l’azienda ha deciso di ripristinare i sistemi invece che pagare il riscatto. Già Giovedì infatti la Campari aveva spiegato che “stiamo lavorando su un progressivo restart in condizioni di sicurezza”.

Violati anche i database di Capcom
Quasi in contemporanea con l’attacco a Campari, anche la rete dello sviluppatore di videogiochi Capcom è stata violata. Capcom, famosa per giochi del calibro di Street Fighter, Resident Evil, Devil May Cry e altri, ha subito il furto di oltre 1 TB dalle reti aziendali delle sedi giapponese, canadese e statunitense. Responsabile dell’attacco, sempre il gruppo di RagnarLocker. La società ha comunicato che l’attacco non ha compromesso i dati degli utenti, mentre ancora non è chiaro l’ammontare del riscatto richiesto.

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 06/11
Nel corso della settimana il CERT-AgID ha individuato 25 campagne dannose attive contro utenti italiani. Sono stati 223 gli indicatori di compromissione (IoC) messi a disposizione.

Sei le famiglie di malware individuate in distribuzione:

Dridex è il malware più individuato. E’ stato diffuso con due diverse campagne in lingua inglese a tema “Pagamenti”. Le email contengono un allegato in formato .xlsm contenente la classica macro dannosa;
AgenTesla è stato diffuso con due diverse campagne, delle quali una scritta in lingua italiana. La campagna in lingua italiana reca con se in allegato due file .exe, mentre quella inglese reca un file .lha compromesso contenente un file eseguibile .exe;
Lokibot, Qrat e Remcos sono le altre famiglie malware individuate in diffusione nel corso di campagne a tema “Pagamenti” e “Informazioni”: hanno destato poca preoccupazione, poichè le campagne di diffusione sono state sporadiche. I file usati come allegati erano nei formati .ace, .zip e .ico.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 06/11
Se si sono stati individuati in circolazione meno tipologie di malware rispetto alle scorse settimane, la stessa cosa non vale per le campagne di phishing, che invece sono state molteplici. Sono state individuate anche campagne di smishing, ovvero phishing via SMS.

Intesa SanPaolo è stato il brand più sfruttato anche in questa settimana, per le campagne a tema “Banking”. Uno degli alert più importanti è stato diramato dal ricercatore Andrea Palmieri, che dal suo profilo Twitter ha fatto sapere di aver individuato una pagina in chiaro, praticamente identica a quella di Intesa San Paolo e legata ad alcune delle campagne della scorsa settimana.

Sempre Palmieri ha individuato anche un altro falso sito della banca, contenente anche un APK dannoso per Android: l’applicazione fake è in grado di leggere gli SMS ricevuti sul dispositivo dove è installata. E’ molto probabile che sia usata per intercettare le One Time Password, i codici a scadenza che sono richiesti per gli accessi autenticati a doppio fattore.

E’ fuori di questione che i clienti della banca IntesaSanPaolo debbano prestare estrema attenzione, poichè l’attenzione dei cybercriminali rispetto a questo brand è costante e continuo. Oltre a Intesa SanPaolo sono state individuate campagne di phishing che sfruttano i brand BNL, Unicredit, BCC e MPS.

Poste invece ha visto svariate campagne truffaldine, una delle quali ha così destato preoccupazione da comportare uno specifico avviso da parte del CERT-AgiD. Alcune di queste campagne sono state a tema “Delivery” e “Informazioni”, ma la più insidiosa è stata quella a tema Spid, avviata proprio in concomitanza col click day.
Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco

Sono state individuate 7 diverse tipologie di allegato dannoso collegato alle campagne analizzate: tra gli allegati dannosi più individuati spicca il formato Excel .xlsm, seguito dal formato archivio .zip. A seguire .exe, .iso, .ace, .rar.
Fonte: https://cert-agid.gov.it

01[1]

Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

martedì 3 novembre 2020
Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall’Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader.

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E’ esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch’esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer.

Qualche dettaglio tecnico

Buer è un malware modulare scritto in C: usa un server di comando e controllo (C&C) multipiattaforma basato su ASP.NET Core MVC. Il server di comando e controllo permette agli attaccanti di tenere traccia del numero di download riusciti dopo una campagna di diffusione, ma anche di assegnare specifiche attività al malware stesso e ai bot. I sistemi compromessi sono elencati nel server e gestiti a distanza, permettendo agli attaccanti di organizzare attacchi raggruppando i target secondo:
il paese in cui sono;
la versione del SO che eseguono (32 o 64 bit);
il numero dei processori disponibili;
i livelli di autorizzazioni e permissioni assegnati al bot.

Una sezione del pannello di controllo. Fonte: https://news.sophos.com/

Coloro che decidono di operare con Buer, possono acquistarne una propria versione dal sito di affiliazione del malware, accedendo poi al pannello del server C&C da un singolo indirizzo IP. Aggiunta o modifica di indirizzi IP sono a pagamento, come fosse un’espansione del servizio.
Dal pannello di controllo si possono anche pianificare attività, distribuire aggiornamenti ai bot e integrare moduli aggiuntivi per eseguire ulteriori attività dannose.

Come si diffonde
Viene distribuito tramite campagne di malspam, talvolta lanciate anche da servizi online piuttosto popolari oppure sfruttando servizi di archiviazione cloud: in maniera molto simile ad Emotet, l’email contiene sempre un documento contenente script dannosi che l’utente deve abilitare.

Una volta entro un sistema, Buer esegue una serie di controllo per verificare impostazioni di lingua e localizzazione: qualora la macchina bersaglio si trovi in una posizione geografica poco utile, il processo si auto termina e il malware non viene installato.

Alcune operazioni di mitigazione
In attesa che siano aggiornati IoC e firme e che il malware diventi individuabile dalla maggior parte delle soluzioni di sicurezza più diffuse, il CERT-AgID consiglia di:

non abilitare mai macro, a meno che non necessarie e provenienti da soggetti assolutamente affidabili e già conosciuti;
visto che mira principalmente le aziende, è consigliabile prevedere cicli periodici di formazione affinchè il personale sia messo in consapevolezza dei rischi derivanti da spam e phishing e sappia come reagire di fronte ad eventuali rischi;
implementare gli indicatori di compromissione, non appena disponibili, sui propri sistemi di sicurezza.
Chiudere le porte in faccia a questa triade di malware non significa solo salvare i propri dati da data breach, ma anche sbarrare letteralmente le porte ad eventuali attacchi ransomware correlati.

Pubblicato da s-mart Informa a 16:23
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest

01+28129[1]

Una buona notizia: il ransomware Maze cessa le operazioni

venerdì 30 ottobre 2020
Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell’attacco e nella gestione dell’estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco.

Maze ha rivoluzionato il mondo dei ransomware
E’ significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell’attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un’azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Poco dopo viene pubblicato il sito “Maze news”, un sito di leak usato dal gruppo per rendere pubblici, a piccole dosi, i file rubati dalle vittime che si rifiutano di pagare. Ogni leak è addirittura accompagnato da brevi “comunicati stampa” per permettere ai giornalisti di rimanere informati sulle loro attività.

Questa tecnica di doppia estorsione è divenuta poco dopo molto diffusa, adottata da praticamente tutte le principali famiglie ransomware attualmente attive, tra i quali REvil, DoppelPaymer, Ryuk ecc… Un fioccare di siti di leak che ha reso definitivamente standard questa metodologia estorsiva.

Non finisce qui: la rivoluzione di Maze è passata anche da forme di collaborazione con altri gruppi ransomware. Contrariamente a quanto sempre successo in precedenza, ovvero una forma di totale concorrenza e competizione tra diversi gruppi di cyber attaccanti, Maze ha ritenuto più utile darsi una forma di cooperazione con altri attaccanti, mettendo a disposizione il proprio sito di leak, al tempo il più conosciuto e sviluppato. E’ così che Maze è stato l’artefice del primo Cartello dei Ransomware della storia: ne abbiamo parlato qui.

Una conta lunghissima di vittime
Complessivamente Maze ha avuto vita breve, ma molto intensa. Durante il suo anno e mezzo di attività Maze ha colpito e ricattato vittime del peso di Canon, Xerox, LG Eletronics ma anche enti pubblici, come la Città di Pensacola e molte molte altre…

L’inizio della fine
Lo scorso mese sono cominciati i primi rumors rispetto ad una possibile interruzione delle operazioni di Maze in una maniera molto simile alla sospensione di quelle di un altro celeberrimo ransomware, GandCrab, messo in pensione dai suoi gestori nel 2019. La sospensione delle operazioni è stata poi confermata a Lawrence Abrams di BleepingComputer in occasione dell’attacco ransomware a Barnes e Noble. Gli attaccanti hanno fatto sapere di aver preso parte all’attacco ransomware compromettendo la rete aziendale e rubando le credenziali dei Windows domain. Hanno quindi passato l’accesso alla rete ai propri affiliati per la distribuzione del ransomware, in virtù di un accordo che prevedeva l’equa distribuzione del riscatto tra affiliati, sviluppatori del ransomware e attaccanti specializzati nell’irruzione nelle reti aziendali. E’ nel corso di questa conversazione che gli attaccanti hanno fatto sapere che Maze sta sospendendo le operazioni, avendo già interrotto ogni attacco a partire dal Settembre 2020: nelle prossime settimane gli attaccanti si concentreranno solo a spremere il più possibile le vittime già attaccate e che ancora non hanno ceduto all’estorsione.

Fonte: bleepingcomputer.com
Poco dopo la redazione di BleepingComputer ha chiesto conferma agli attori di Maze della sospensione delle operazioni: “dovreste aspettare il comunicato stampa” hanno risposto.

Ad ora gli unici cambiamenti visibili, oltre all’effettivo stop degli attacchi, si riscontrano nella lista delle vittime presenti sul sito di leak Maze News: tutte le vittime precedenti sono state rimosse dagli elenchi e ne restano soltanto due, oltre a quelle che hanno visto già pubblicati i propri dati in precedenza. Questo è un segno chiaro e inequivocabile dell’imminente sospensione delle operazioni. La speranza adesso è che, come già accaduto in passato, gli attaccanti rendano pubblica la master key, garantendo a tutte le vittime il recupero dei propri file senza alcun riscatto.

La cattiva notizia nella buona notizia
C’è una cattiva notizia anche entro questa buona notizia: gli affiliati di Maze, tutt’altro che intenzionati a rimanere a mani vuote, si stanno spostando verso l’affiliazione ad nuovo ransomware, chiamato Egregor.

Egregor ha iniziato le proprie operazioni proprio a metà Settembre, con uno straordinario tempismo rispetto alla sospensione degli attacchi da parte del gruppo Maze. Il pensiero diffuso tra i ricercatori di sicurezza è che Egregor sia lo stesso software alla base di Maze e Sekhmet, poichè sono usate le stesse note di riscatto, siti di pagamento simili e c’è la condivisione di parte dello stesso codice. Che Maze, Sekhmet ed Egregors siano lo stesso software era comunque già stato confermato in precedenza da altri cybercriminali. L’esperto di ransomware Michael Gillespie ha anche fatto una scoperta che mette chiaramente in relazione questi malware: le vittime di Egregor che pagano il riscatto, ricevono un decryptor che si chiama “Sekhmet Decryptor”.

Insomma la sospensione delle operazioni di Maze è una buona notizia, ma non indica affatto il ritiro dalla scena ransomware del gruppo che lo ha sviluppato: piuttosto il gruppo sta semplicemente muovendo verso una nuova operazione ransomware.

01[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

venerdì 6 novembre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 30/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 19 campagne dannose attive nel panorama italiano: a fronte di un numero di campagne minori rispetto alle settimane scorse, si presenta invece molto alto il numero di Indicatori di Compromissione (IoC), oltre 454.

Sei sono state le famiglie ransomware individuate, in dettaglio:

Emotet è stato il malware più diffuso, distribuito con ben 3 diverse campagne nella sola giornmata di Lunedì 26. Le email sono in lingua italiana, 3 i temi: “Documenti”, “Evento”, “Salute”. L’allegato dannoso è in formato .doc. Una quarta campagna Emotet è stata individuata nella giornaa di Venerdì scorso: differisce per temi, ma è identica ad una campagna a tema “Sociale” già individuata Venerdì 30 Ottobre.

Dridex se la gioca a pari merito con Emotet: è stato diffuso soltanto i primi tre giorni della settimana, ma con ben 4 diverse campagne contemporaneamente. I temi sono stati “Pagamenti” e “Spedizioni”, gli allegati dannosi sono in formato .xsls e .doc.

Pochi segnali di attività invece da Ursnif che, a differenza della scorsa settimana, è stata diffusa con una sola campagna dannosa, che imita comunicazioni ufficiali di Enel e reca un file .xls in allegato. Segnali di attività anche per Lokibot, AgenTesla e Zloader, attivi solo nei primi tre giorni della settimana con campagne diverse a tema “Spedizioni” o “Pagamenti”.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/
Novità della settimana, l’individuazione di una campagna a tema “Banking” utilizzata per distribuire il malware Avemaria. La campagna imita comunicazioni ufficiali di Unicredit contenenti allegati .iso. Sotto l’email in oggetto, che, come ha rilevato il CERT-AgID contiene un cosiddetto “easter egg”, una sorpresina: in una porzione di codice, gli attaccanti hanno citato il ricercatore di sicurezza Vitali Kremez

Avemaria è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest’anno: il nome viene da una stringa di codice del malware stesso. E’ un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.

Le campagne di phishing della settimana 30/10
Tra le campagne di phishing individuate spiccano quelle a tema “Banking”: individuate infatti false comunicazioni ufficiali di IntesaSanpaolo, BBC e BNL. Immancabili le campagne a tema Aruba, ormai una consuetudine: la comunicazione fake, a tema “Pagamenti” per account scaduto, recano loghi e riferimenti di Aruba. La giornata di Lunedì scorso invece è stata caratterizzata una massiva campagna a tema “Aggiornamenti” afferente ad Apple.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Sono state individuate 6 diverse tipologie di allegato dannoso collegato alle campagne analizzate: i formati più utilizzati sono stati .doc in prima posizione e .xlsm e .zip al secondo posto a pari merito. Individuati anche file .xsl, .iso, e .7z

Fonte: https://cert-agid.gov.it/

Gli Indicatori di Compromissione messi a disposizione sono disponibili sul sito ufficiale CERT-AgID.

01+28129[1]

Data leak e data breach: i dieci giorni dell’orrore

martedì 27 ottobre 2020
Data leak e data breach: i dieci giorni dell’orrore

Notizie di data leak e data breach si susseguono ormai senza sosta: che dipenda da un attacco informatico, da dipendenti infedeli, da cattive configurazioni poco importa, la scorsa settimana si è registrato un numero impressionate di violazioni e furto di dati. Nell’impossibilità di raccontare tutti gli eventi, ci concentriamo su alcuni in particolare, importanti dal punto di vista della quantità di dati violati e per le modalità di violazione.

– Il data breach di Nitro PDF
Nitro PDF è un sistema molto usato dalle aziende per creare, modificare e firmare digitalmente PDF e altri tipi di documenti digitali: dichiara più di 10.000 clienti aziendali e 1.8 milioni di utenti su licenza. E’ utilizzato da aziende del calibro di Microsoft, Apple, Google ma anche da centinaia di aziende italiane ed europee.

Il 21 Ottobre, Nitro Software ha inviato un alert all’Australia Stock Echange per notificare un “incidente di sicurezza a basso impatto”: nell’alert si specificava che nessuno dei dati dei clienti era stato violato. La realtà non è affatto questa, purtroppo: l’azienda di cybersicurezza Cyble ha fatto sapere di aver rintracciato, in vendita nel dark web, i dati dei clienti e più database di documenti, per un totale circa di 1TB di documenti rubati. Tutti i dati sono stati sottratti dal servizio in cloud che Nitro Software offre ai clienti di Nitro PDF. L’intero pacchetto è in vendita all’asta con una base d’asta iniziale di 80.000 dollari.

Ad esempio, spiegano da Cyble, il database “user_credential” contiene ben 70 milioni di record utenti contenenti indirizzo, nome completo, hash delle password, nome dell’azienda, indirizzo IP e altri dati correlati. Tra i dati rubati, fanno sapere, una parte consistente appartengono ad aziende del calibro di Amazon, Apple, Google, Microsoft ecc..

Per coloro che sono preoccupati e ritengono che vi sia la possibilità che i propri dati siano stati violati con questo breach, Cyble ha offerto un servizio dove è possibile verificare se i propri dati risultano in vendita in questo pacchetto.

2. Amazon licenzia dipendenti infedeli: vendevano i dati degli utenti a terzi
Come dicevamo però, non solo attacchi informatici: la vicenda che ha riguardato Amazin origina da alcuni dipendenti infedeli. Durante il weekend, su Twitter, centinaia di clienti di Amazon chiedevano spiegazioni rispetto ad una email, ricevuta dal servizio di supporto di Amazon, nella quale venivano avvisati di un data leak che avrebbe riguardato i loro dati personali. La domanda che ponevano era se si trattava di un attacco mirato che aveva colpito solo alcuni particolari clienti o se, invece, il leak avesse riguardato più persone. L’alert infatti avvisava che

“questa notifica è per avvisarti che il tuo indirizzo email è stato esposto a causa di una violazione della policy che regola i rapporti con le terze parti ad opera di un dipendente Amazon. Abbiamo licenziato il dipendente, riferito il data leak alle autorità competenti e collaborando con le stesse per la prosecuzione del processo. Nessuna altra informazione relativa al tuo account è stata condivisa. Questa situazione non dipende da alcuna tua azione e non ci sono motivi per prendere ulteriori provvedimenti. Ci scusiamo per l’incidente”.

Il problema è che, incalzata dalle domande degli utenti, Amazon ha deciso di commentare ulteriormente la vicenda tramite un portavoce, che però ha parlato al plurale di dipendenti infedeli e non di un solo dipendente. Inoltre non è stati dichiarato pubblicamente il numero degli utenti riguardati. Una situazione che rende difficile, se non impossibile, avere un quadro chiaro della violazione.

3. Attacchi ransomware senza sosta: dati rubati e pubblicati online
Infine, ne abbiamo già parlato spesso, prosegue a spron battuto l’attività dei gruppi ransomware che ormai, per prassi, accedono e rubano i dati delle proprie vittime prima di criptarli: li utilizzano così sia per rivenderli sul dark web che come ulteriore strumento di ricatto.

Solo la scorsa settimana abbiamo parlato del caso Luxottica: colpita da ransomware, la grande azienda italiana aveva negato qualsiasi breach dei dati dei clienti o dei partner di terze parti, ma qualche giorno fa gli attaccanti hanno pubblicato online una parte dei dati a fini ricattatori. Ennesimo segnale del fatto che, ormai, ogni attacco ransomware va considerato necessariamente anche un data breach.

E’ del tutto impossibile elencare tutti gli attacchi ransomware avvenuti la scorsa settimana, ne elenchiamo solo alcuni:

l’azienda di servizi IT francese Sopra Steria viene colpita da un attacco del ransomware Ryuk il 20 ottobre. L’attacco è stato portato dopo che la rete aziendale è stata infettata sia con trickBot che con BazarLoader che ormai sono comunemente usati dai gruppi ransomware per ottenere l’accesso alle reti tramite backdoor;
il resort sciistico e golfistico statunitense Boyne Resort colpito dal ransomware WastedLocker il 23 Ottobre: l’attacco ha colpito parte dei sistemi aziendali, a partire dal sistema delle prenotazioni, contenenti i dati sensibili di migliaia di clienti. WastedLocker è già saltato agli onori delle cronache per l’attacco a Garmin nel Luglio di quest’anno;
il gigante delle librerie USA Barnes & Noble è finito sotto attacco da parte del gruppo ransomware Egregor: oltre alla criptazione dei file presenti in rete, gli attaccanti hanno fatto subito sapere di aver sottratto dati non criptati come parte integrante dell’attacco. Parliamo di un brand che conta ben 600 librerie negli USA e conta anche un proprio servizio eBook e una eReader Platform: i dati sensibili in possesso di Barnes e Noble sono quindi tantissimi;
stanotte (26 ottobre) sono state colpite da attacco ransomware le acciaierie canadesi Stelco: non circolano ancora molte informazioni sull’attacco, ma pare accertato che si tratti di una versione del ransomware Ryuk.
Potremmo continuare, ma l’elenco di questi episodi già rende chiaro un problema che ormai si fa irrimandabile e sempre più urgente affrontare e non solo perchè il GDPR prevede serie sanzioni per chi non tutela i dati dei clienti: oltre a perdite finanziarie notevoli, sono in gioco anche credibilità, fiducia e fidelizzazione dei clienti, insieme al diritto individuale alla privacy dei clienti. Che si tratti di insider, i cosiddetti dipendenti infedeli, di attacchi ransomware, di dati fuoriusciti per cattive configurazioni (il classico caso di database con dati sensibili esposto online poichè non protetto da alcun meccanismo di autenticazione e indicizzato sui motori di ricerca) poco importa: la messa in sicurezza dei dati è irrimandabile e settimane come quella appena trascorsa ne sono una chiara e tangibile dimostrazione.

01[1]

Enel di nuovo sotto attacco ransomware: richiesti 14 milioni di dollari di riscatto

mercoledì 28 ottobre 2020
Enel di nuovo sotto attacco ransomware: richiesti 14 milioni di dollari di riscatto

L’italiana Enel Group è stata colpita da attacco ransomware per la seconda volta nel corso di quest’anno. Questa volta responsabile dell’attacco è il gruppo ransomware Netwalker, che ha richiesto ben 14 milioni di dollari in Bitcoin per l’invio della chiave di decriptazione e per scongiurare la pubblicazione di terabyte di dati rubati.

Il precedente
Lo scorso Giugno, la rete interna di Enel era stata attaccata e violata dal ransomware Snake, conosciuto anche come Ekans, ma il tentativo di diffondere il malware nella rete era stato bloccato dai sistemi di cyber sicurezza. Abbiamo parlato più dettagliatamente dell’episodio qui.

Il 19 ottobre un ricercatore di sicurezza ha scovato e inviato alla redazione di Bleeping Computer la nota di riscatto che il gruppo di Netwalker ha inviato ad Enel Group.

Nella nota di riscatto compare un link alla risorsa http://prnt.sc/ URL, che mostra i dati rubati nel corso dell’attacco e rende chiaro che la nota riferisce proprio ad Enel.

Conferma avvenuta comunque pochi giorni dopo, quando sono stati i gestori di Netwalker a confermare l’attacco contro Enel Group dopo aver aggiunto un messaggio alla propria chat di supporto “Ciao Enel, non avere paura a contattarci”

Solitamente se un’azienda non avvia le contrattazioni con gli attaccanti entro un certo lasso di tempo, il riscatto raddoppia. Probabilmente con Enel è accaduta la stessa cosa, a giudicare dall’assenza di risposte nella chat mostrata dagli attaccanti: è un modo per i cyber estorsori di indicare che stanno per passare alla fase successiva, ovvero quella della pubblicazione dei dati rubati.

Infatti, proprio ieri, il gruppo di Netwalker ha aggiunto Enel Group al proprio sito di leak e condiviso alcuni screenshot che mostrano dati in chiaro sottratti nell’arco dell’intero mese di attacco

Se le dichiarazioni del gruppo di cyber criminali sono vere, i dati sottratti ammonterebbero a circa 5 terabyte, pronti ad essere resi pubblici, a piccole dosi, già nel corso di questa settimana. E’ evidente che il gruppo sta massimizzando gli sforzi per fare pressione sulla vittima e stroncare ogni resistenza.81

01[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 29 ottobre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 23/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose ai danni di utenti italiani: 382 gli indicatori di compromissione (IoC) resi disponibili. Le famiglie di malware individuate in diffusione sono state 9, in dettaglio:

Formbook: diffuso con due diverse campagne a tema “Pagamenti” e “Conferma” con testo in italiano e con una terza campagna, in in lingua inglese, a tema “Scansione”. Per la diffusione del payload sono stati usati allegati email in formato .zip e .rar.
Ursnif è stato il protagonista indiscusso dei primi giorni della settimana, con le classiche email che imitano comunicazioni ufficiali di Inps o Agenzia delle Entrate: l’allegato dannoso utilizzato è in formato .xls protetto da password. Vista la continuità di queste campagne, il CERT-AgID ha prodotto un documento che le raffronta per evidenziare similitudini e differenze.
Emotet è stato diffuso con due diverse campagne, a tema “Pagamenti” e “Sociale”: le email, con testo in italiano, recavano un file .doc compromesso.
AgentTesla, MassLogger, Dridex, ASTesla, XperRat e Remcos sono le altre famiglie malware individuate in diffusione con campagne specifiche nella settimana scorsa. La loro diffusione non è stata massiva comunque. L’unico fatto degno di nota è che il CERT ha individuato una nuova variante di campagna per ASTesla, scritta in inglese, veicolante documenti dannosi .xlsx e configurata per sfruttare Telegram.

Le campagne phishing della settimana 23/10
Tre le campagne di phishing individuate, i brand più sfruttati sono stati, di nuovo, Aruba e Poste, con apposite campagne a tema “Pagamenti”, “Aggiornamenti” e “Avvisi di sicurezza”. Subito dopo le classiche campagne di phishing a tema bancario: sono state individuate, via email ma anche via sms, campagne che emulavano false comunicazioni degli istituti bancari IntesaSanPaolo e MPS a tema “Aggiornamenti” e “Account sospeso”. E’ stata riscontrata anche una campagna Outlook a tema Aggiornamenti.

Tipologia di file di attacco
Sono state individuate 9 diverse tipologie di allegato dannoso collegato alle campagne analizzate: tra gli allegati dannosi più individuati spicca il formato Excel .xls, seguito al secondo posto dai formati .zip, .rar e .doc. Seguono i formati .gz, .7z. .xlsm, .xlsx e .r19.

Gli Indicatori di Compromissione messi a disposizione sono disponibili sul sito ufficiale CERT-AgID.

01[1]

Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

lunedì 19 ottobre 2020
Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

Qualche giorno fa abbiamo dato notizia dell’attacco che Microsoft, a capo di una coalizione di ISP, esperti di cyber sicurezza e CERT nazionali, ha portato contro la famigerata botnet TrickBot. Ritenuta una minaccia aperta per le venture elezioni negli Stati Uniti, TrickBot e la sua intera infrastruttura sono stati oggetto di studio da parte di Microsoft che, una volta presentati i dati, ha ottenuto dal United States District Court for the Eastern District of Virginia l’autorizzazione necessaria per passare al contrattacco e smantellare la botnet.

Dalle prime dichiarazioni di Microsoft il risultato sembrava essere stato pienamente raggiunto, ma analisi successive e dati telemetrici hanno indicato come la botnet sia sopravvissuta al tentativo di takedown.

I server di comando e controllo di Trickbot e tutti i domini che sono stati messi offline la scorsa settimana sono già stati sostituiti: in pochissime ore cioè l’intera infrastruttura di Trickbot è stata sostituita. Aziende e ricercatori di sicurezza che monitorano da tempo l’attività di Trickbot hanno dichiarato che gli effetti del takedown sono stati “temporanei e limitati”: molti però gli elogi per Microsoft e partner, per lo sforzo e il tentativo indipendentemente dai risultati effettivi.

Alcune fonti interne alla coalizione che ha messo sotto attacco la botnet hanno spiegato che fin dall’inizio era esclusa la possibilità di ottenere lo shut down totale della infrastruttura: la cosa sarebbe provata anche dal fatto che la campagna anti TrickBot già prevede dei passaggi da ripetere, come la messa in down dei nuovi domini. Insomma, gli esperti della coalizione si aspettavano già una pronta risposta da parte degli attori dietro a TrickBot, al punto da aver già previsto alcune mosse da giocare non appena gli attaccanti avessero rimesso online l’intera infrastruttura. Sono centrali, da questo punto di vista, le parole di Tom Burt di Microsoft: “come abbiamo già visto nel corso di precedenti operazioni, i risultati di uno shut down globale che coinvolge più partner si manifestano in più fasi. Abbiamo già previsto che gli operatori di TrickBot tenteranno di riavviare le proprie operazioni. Se necessario quindi adotteremo ulteriori misure tecniche e legali per fermali”.

E non potrebbe essere altrimenti: questo approccio multifase è, spiegano gli esperti, il diretto risultato della complessità dell’infrastruttura di questa botnet, gran parte della quale gira su sistemi di hosting molto protetti, che o non rispondono affatto o rispondono molto lentamente a tentativi di takedown. Ad esempio, un report di sicurezza di Intel471 spiega che TrickBot ha iniziato a spostare i propri server di comando e controllo sul sistema di domain name decentralizzato EmerDNS, per cercare di contrastare il tentativo di takedown. Già due giorni dopo il primo assalto, l’infrastruttura della botnet era stata ripristinata, anche se con livelli di attività ben più bassi che nei giorni precedenti.
Non un successo completo, ma ci sono stati risultati positivi
In ogni caso ci sono stati effetti positivi: il tentativo di takedown non si è limitato all’infrastruttura. Al momento di approntare la strategia offensiva, hanno spiegato al giornale online ZDNet alcune fonti interne, erano stati valutati anche altri obiettivi: tra questi il cercare di produrre il più alto livelli di costi di ripristino aggiuntivi per gli autori di TrickBot e di ritardare o comunque ridurre il più possibile le operazioni malware già in atto. TrickBot infatti, come sappiamo, offre i propri servizi anche ad alcuni attori ransomware, che usano TrickBot come canale di diffusione.

Resta infatti vero che TrickBot è una delle 3 operazioni Malware as a service (MaaS) più di successo da sempre. La botnet produce massive campagne di spam (anche contro utenti italiani) per infettare pc e IoT, scaricare il proprio malware, quindi vendere i dati rubati dalle macchine attaccate. Oltre a ciò rivende l’accesso alle macchine già infette, aprendo la strada a ransomware, infostealer e keylogger, ma anche a gruppi hacker (col)legati ad alcuni Stati. Abbattere o ridurre la botnet dichiarerebbe una volta per tutte che l’infrastruttura di TrickBot non è così invincibile come si pensa: la cosa potrebbe comportare un duro colpo alla fama di questo MaaS, riducendo anche il numero di coloro che si rivolgono a TrickBot per le proprie campagne malware. E’ del tutto plausibile infatti che queste campagne di attacco possano portare a scoprire almeno alcuni dei “clienti” di TrickBot.

Il successo pieno è sul fronte legale
Il caso giudiziario che ha preceduto l’operazione ha prodotto un nuovo e inedito precedente legale. In tribunale infatti, il portavoce di Microsoft ha spiegato di come TrickBot abbia abusato del codice di Windows per finalità criminali, violando i termini di servizio del kit di sviluppo software (SDK) standard di Windows, sul quale sono usare tutte le app Windows. Una violazione del copyright di Microsoft sul proprio codice quindi, poichè gli attaccanti hanno copiato e usato l’SDK a finalità criminali.

La novità è tutta qui: in casi precedenti Microsoft e le forze dell’ordine dovevano presentare prove per dimostrare i danni, finanziari e non solo, subiti dalle vittime in una determinata giurisdizione. Per questo hanno dovuto spesso identificare e contattare le vittime, producendo più cause legali in giurisdizioni diverse. Il nuovo approccio incentrato sulla violazione del copyright è più facile da dimostrare ed è valido indipendentemente dalla giurisdizione. Si fa molto più agile e veloce quindi, per Microsoft, individuare cyber criminali e richiedere le autorizzazioni passare all’attacco.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy